Wir wissen, wohl, was PKI ist, aber wissen wir auch, was es werden kann?

In Shakespeares Hamlet spricht Ophelia
folgenden Satz: „Wir wissen, wohl, was
wir sind, aber nicht, was wir werden
können.“ Das unbekannte Potential der
eigenen Zukunft sorgt für eine gewisse
Selbstreflexion. Sinnvoll ist es aber auch,
sich Gedanken darüber zu machen, wie
sich die Technologien entwickeln werden,
mit denen wir heute so gut vertraut sind,
um zukünftigen Anforderungen gewachsen
zu sein. Genau das geschieht gerade
im Bereich der Public Key Infrastruktures
(PKIs) – einer Technologie, die uns
seit Jahrzehnten begleitet und nun als
wichtigster Wegbereiter der digitalen
Transformation unabdingbar wird.

PKIs

Als grundlegender Baustein für die digitale
Kommunikation umfasst eine PKI die Hardware,
Software, Policies, Prozesse und Verfahren,
die für die Verwaltung digitaler Identitäten
erforderlich sind. Ursprünglich wurden
PKIs eingeführt, um die Identität von Personen
und Webservern zu validieren.

Seitdem haben sie sich zum de facto, zum
Standardmechanismus entwickelt, mit dem
vertrauenswürdige Systeme und die Vertrauenswürdigkeit
innerhalb von Systemen
aufgebaut werden. Ihre Verwendung war die
Grundlage für den Erfolg des e-Commerce.

Doch die Zahl der vernetzten Geräte und
Applikationen, die sicher identifiziert und
validiert werden müssen, damit sie in vertrauenswürdigen
Ökosystemen funktionieren, ist
explosionsartig angestiegen – und damit
auch die Nachfrage nach PKIs.

Haupttreiber des Wandels

Das Internet der Dinge (Internet of Things,
IoT) wird für verbraucherorientierte Anwendungen
genutzt, wie zum Beispiel Mobiltelefone,
vernetzte Fahrzeuge, intelligente Verbrauchsmessung
und Medizingeräte.

Auch bei industriellen Applikationen ist
das IoT weit verbreitet, zum Beispiel bei der
vorbeugenden Wartung, im Flottenmanagement,
als künstliche Intelligenz für Flugzeugtriebwerke
oder bei der Optimierung von
Stromnetzen. Wie zuvor erwähnt, basiert
e-Commerce auf Vertrauen. Man muss sich
jedoch einmal die Konsequenzen vor Augen
führen, die sich ergeben, wenn wir medizinischen
Geräten und Applikationen nicht
mehr trauen könnten, oder den Triebwerken
der Flugzeuge, in denen wir reisen, oder der
Steuerung unserer Elektrizitätsnetze.

Die Liste solcher Applikationen ist schier
endlos, und sie alle benötigen PKIs und
Berechtigungszertifikate, um zu gewährleisten,
dass die Systeme der Kontrolle von berechtigten
Benutzern unterstehen und dass
das auch so bleibt. Deswegen werden PKIs
bis an ihre Leistungsgrenzen ausgereizt, um
die ständig wachsende Zahl an Zertifikaten
für die entsprechenden Geräte und Applikationen
zu erzeugen.

Das Internet der Dinge (IoT)

Das IoT ist die am schnellsten wachsende
Kraft, die sich auf Planung und Entwicklung
von PKIs auswirkt. Die vom Ponemon Institute
für nCipher durchgeführte jährliche Studie
„Global PKI Trends“ führt folgende Punkte auf:
Es wird zunehmend erkannt, dass die PKI
eine wichtige Kernauthentifizierungstechnologie
für das IoT darstellt. Der Anteil an Befragten,
die das IoT als den wichtigsten Trend
für den Einsatz von Applikationen bezeicheIDAS
schafft Standards, mit denen elektronischen
Signaturen derselbe Stellenwert
zukommt, wie einer händischen Unterschrift
und reguliert mit Hilfe von Aufsichtsorganen
die Arbeit der Vertrauensdiensteanbieter
(VDA) in den jeweiligen Mitgliedsstaaten.
Unternehmen, die in der EU tätig sind, profitieren
vom Einsatz konformer Vertrauensdienstleistungen,
denn so sind alle signierten
Dokumente und Vereinbarungen
in der gesamten EU gültig. Mit dem Einsatz
eines qualifizierten Vertrauensdiensteanbieters
können sie sicher sein, dass die
elektronische Signatur eines Dokuments dieselbe
Gültigkeit besitzt, wie eine physische
Unterschrift. Insbesondere Banken nutzen
die eIDAS-Vorgaben, um die Identität ihrer
Kunden zu überprüfen und die Gültigkeit
von Vereinbarungen zu gewährleisten.
Weil immer mehr Regierungen den Bürgern
auch digitale Dienstleistungen anbieten,
benötigen auch sie eIDASkonforme
Services und Signaturen.
Um die dauerhafte
Konformität sicherzustellen,
müssen die
VDAs zwingend qualifizierte
Signaturerstellungsgeräte nutzen,
die mit dem Einsatz starker Verschlüsselung
für die Sicherheit der
Signaturen sorgen.
nen, ist deutlich von 21 Prozent im Jahr 2015
auf 41 Prozent im Jahr 2019 angestiegen.

Datenschutz und gesetzliche
Vorgaben

IoT-Geräte sammeln Daten, und viele
davon sind mit Personen verknüpft. Diese
Daten müssen geschützt werden, um die
brancheninternen und gesetzlichen Vorgaben
weltweit einzuhalten, wie zum Beispiel
die Datenschutzgrundverordnung (DSGVO).
Datensicherheit und Einhaltung gesetzlicher
Vorgaben sind weitere wichtige Funktionen,
bei denen die PKIs den Mechanismus liefern,
mit dem der Zugriff auf kritische Geräte und
die von ihnen gesammelten Informationen
kontrolliert wird.

In der Tat haben die ersten Ergebnisse der
Global PKI Trends Study 2019 bereits
einige interessante Statistiken bezüglich der
Sicherheitszertifizierung für PKIs zu Tage
gefördert: Weltweit anerkannte Sicherheitszertifizierungen
gewinnen immer stärker
an Bedeutung.

Common Criteria EAL4+ galt als wichtigste
Sicherheitszertifizierung beim Einsatz von
PKI und PKI-basierten Applikationen. Die
Studie ergab, dass sich 64 Prozent der Befragten
für die Common Criteria und 60
Prozent für FIPS 140-2 entschieden, gefolgt
von regionalen Standards, wie z.B. gesetzlichen
Vorgaben für digitale Signaturen, mit
25 Prozent.

Best Practices für sichere PKIs

Zum Schutz von privaten Schlüsseln, die
für die Zertifikatsausstellung und Signierprozesse
verwendet werden, empfehlen
Sicherheitsexperten als Best Practice die
Verwendung eines Hardware Security-Moduls
(HSM). Die Root-of-Trust im HSM sepa-
Doch egal, wie gut die Verschlüsselung auch
ist: Sie ist immer nur so gut wie die Rootof-
Trust, welche die zugrundeliegenden
Kryptografieschlüssel schützt. Und genau
hier kommt nCipher ins Spiel.
Die nach der Common Criteria EAL 4+
zertifizierten nCipher nShield Hardware
Security Modules (HSMs) stellen die Rootof-
Trust für wichtige Vertrauensdienste
dar. Kurz gesagt: Als freigegebene und
qualifizierte Signaturerstellungsgeräte
ermöglichen sie den Vertrauensdiensteanbietern
die Einhaltung
der eIDAS-Verordnung.
Mit der zunehmenden
riert und schützt kritische kryptografische
Schlüssel innerhalb einer zertifizierten, geschützten
Umgebung, getrennt von der
restlichen IT-Infrastruktur, und ermöglicht so
die Auditierung und Einhaltung gesetzlicher
Vorgaben. Zusätzlich können HSMs, wie
zum Beispiel das nach Common Criteria
und FIPS zertifizierte nCipher nShield HSM,
sensiblen Code schützen, indem er innerhalb
sicherer Grenzen ausgeführt wird.

nCipher und seine nFinity-Technologiepartner
bieten ihren Kunden die stärksten PKILösungen
auf dem Markt. Egal, ob bei
Design und Aufbau einer komplett neuen
PKI oder bei einer Zustandsbewertung ihrer
bestehenden PKI: nCipher sorgt dafür, dass
die Anforderungen Ihrer Applikationen an
digitale Berechtigungen und Identitäten
erfüllt werden, und dass die Sicherheit Ihrer
zugrunde liegenden Signaturschlüssel zu
jeder Zeit gewährleistet ist.

Ophelia

Ophelia hatte Probleme, sich damit
auseinanderzusetzen, was in der Zukunft
aus ihr werden könnte. Aktuelle PKI sind zu
einer kritischen Infrastruktur für das einst
unvorstellbare IoT geworden. Wir müssen
daher die heutigen organisatorischen PKI
analysieren, um sicherzustellen, dass sie für
ihre momentanen Aufgaben auch gerüstet
sind. Darüber hinaus müssen wir nach vorne
schauen, um zu gewährleisten, dass die PKIs
auch morgen noch Vertrauen und Sicherheit
schaffen können.